📖 Gancho de la historia
En 1999, un chico de 15 años de Boston hackeó el Pentágono. Se llamaba Jonathan James. No robó secretos. Solo quería ver si «podía».
Después de 9 meses, lo atraparon. Le dieron una sentencia condicional (era menor de edad). Y luego, los verdaderos hackers del FBI le ofrecieron un trabajo.
Ahora, en el mundo hay 4 millones de hackers éticos. Ganan $50k-200k al año. Hacen lo mismo que Jonathan, pero legalmente. Se llaman white hat.
Vamos a analizar en qué se diferencian de aquellos que están en la cárcel.
🎯 Tres tipos de hackers
🤍
White hat (hackers éticos)
¿Quién es: ingenieros de seguridad, pentesters, cazadores de bug bounty. Buscan vulnerabilidades, pero con permiso del propietario.
Objetivo: encontrar un agujero → informar al propietario → recibir dinero o salario.
Ejemplo: La empresa Tesla paga a un hacker $15,000 por una vulnerabilidad encontrada en su Model 3. El hacker encuentra → envía un informe → recibe el dinero en su cuenta.
Ley: 100% legal. Siempre hay un permiso escrito o un programa de bug bounty abierto.
Salario: $50k-200k al año + bonos de bug bounty.
🖤
Black hat (delincuentes)
¿Quién es: ciberdelincuentes. Hackean sin permiso. Roban dinero, datos, chantajean.
Objetivo: beneficio personal. Robo de criptomonedas, venta de bases de datos, cifrado con rescate (ransomware).
Ejemplo: El grupo Conti (de habla rusa) hackeó Costa Rica (el presidente declaró el estado de emergencia). Exigió $20 millones. Ganó ~$2.7 mil millones en 2 años antes de disolverse.
Ley: delito. Código Penal de la Federación Rusa 272 - hasta 7 años. CFAA en EE. UU. - hasta 20 años. Extradición posible.
«Salario»: desde $0 (lo atraparon rápidamente) hasta millones (trabajaron durante mucho tiempo + lograron escapar).
🌗
Grey hat (zona gris)
¿Quién es: «hackers benévolos» que buscan vulnerabilidades sin permiso, pero no con el objetivo de dañar.
Objetivo: encontrar un agujero → revelarlo públicamente (investigación de seguridad) o pedirle al propietario que lo arregle (sin pago).
Ejemplo: Un hacker encuentra un agujero en el sitio web de un banco. No intentó robar. Simplemente escribe al banco «aquí está tu vulnerabilidad». El banco dice gracias. Pero formalmente fue ilegal - entró sin permiso.
Ley: técnicamente es una violación. En la práctica, rara vez se persigue - pero depende del país y la empresa.
Salario: 0. Es un pasatiempo, no una profesión. Muchos grey hat eventualmente se convierten en white hat (bug bounty).
🎬 Historias reales
Kevin Mitnick - de delincuente a defensor
En la década de 1990, Mitnick fue el hacker más buscado por el FBI. Hackeó Motorola, Nokia, Sun Microsystems. Fue sentenciado a 5 años.
Después de la cárcel, se convirtió en white hat. Abrió una empresa de consultoría de seguridad Mitnick Security. Ganaba ~$10k por hora de conferencias. Escribió 4 libros bestsellers.
Lección: las habilidades son las mismas. Solo el objetivo y la legalidad determinan - millones o cárcel.
Marcus Hutchins - héroe, delincuente, héroe
En 2017, el virus WannaCry paralizó hospitales en todo el mundo. Un británico de 22 años, Marcus Hutchins, encontró el «interruptor de apagado» - una simple cadena que detuvo el ataque. Salvó miles de millones.
Después de 3 meses, lo arrestaron en EE. UU. - por código antiguo que había escrito a los 18 años (troyano bancario). Recibió 1 año de libertad condicional.
Lección: el pasado en seguridad no se perdona. Nunca escribas malware «solo por diversión».
Pwn2Own - torneos legales para hackers
Conferencia donde se invita a hackers a hackear iPhone, Tesla, Windows. Se paga por cada agujero encontrado. Los mejores equipos ganan $1-2 millones por fin de semana.
Uno de los campeones es el equipo ruso Synacktiv. En 2024, hackeó el Tesla Model 3 → recibió $200k + el coche en sí.
Lección: esto no es un mito. Los hackers realmente ganan cientos de miles de dólares en torneos.
💡 Por qué debes entender los sombreros
Cuando un amigo te diga «vamos a hackear el sitio web de nuestra escuela para divertirnos» - tú inmediatamente entenderás:
- Es black hat por definición (no hay permiso).
- Código Penal de la Federación Rusa 272 - hasta 4 años incluso por «intento».
- Si quieres practicar - hay sitios web de entrenamiento (HackTheBox, TryHackMe, nuestra plataforma).
El curso te enseña a ser white hat. Esas son habilidades, legalidad y dinero. Todo en un paquete.
🤖 Vibe-task: pregunta a Claude
Abre Claude (claude.ai). Pregúntale:
Estoy empezando a estudiar hacking ético. Cuéntame 3 historias reales
de white hat hackers que ganaron más de $100,000 en bug bounty
en 2023-2024. Breve: nombre, empresa que hackearon, cantidad de pago.
Registra los nombres en un bloc de notas. En los siguientes módulos, leeremos sus informes - esta es la mejor manera de aprender.
🎬 ¿Qué sigue?
En la próxima lección - ley. ¿Qué conlleva cruzar la línea. Código Penal de la Federación Rusa 272, CFAA, casos reales. Y lo más importante - cómo hacer todo legalmente a través de bug bounty.